黑客访问企业数字资产最简单的方法是窃取凭证。而凭证泄露是如今企业遭遇攻击的首要方式。用户访问控制也因此成为 IT 部门最关键的职责,而且由于对效率、生产力和安全性的平衡需求变得更加复杂。
那么,企业应该如何在不影响安全性的情况下让通过验证的用户轻松访问所需的 IT 资源呢?
要防御窃取凭证的网络攻击,秘密武器就是身份管理,一种验证和给予用户权限的过程。
什么是身份管理?
身份管理的核心是给予用户访问企业 IT 资源权限的过程。虽然身份管理 与 身份和访问管理(IAM)经常交替使用,但前者其实只覆盖了后者的一半内容。IAM 主要涉及谁在访问 IT 资源以及在使用哪些资源两个问题,而身份管理主要关注第一个问题,也就是资源访问者的身份。
为用户提供身份的最常见方法首先是在用户首次请求访问资源时确认其身份的真实性,然后创建一组通常由用户名和密码组成的凭证用于访问资源。
身份管理和访问管理的区别
从用户角度看,身份管理要求输入用户名和密码等凭证,而这些实际上是用户唯一能看到的安全策略。与之相比,访问管理则更精细,属于 IT 的后端,负责预配、取消预配和更改用户认证。
两者另一种区别在于:身份管理是对用户进行身份验证,而访问管理是对用户进行授权。大多数用户都不清楚其中的差异,但黑客却了如指掌,管理员就不得不了解这两个概念。
如果企业的安全策略只关注身份管理(身份验证),就很容易受到攻击。黑客要伪装用户登录只需使用任意员工的泄露凭证就能获得所有访问权限,访问企业所有应用和网络。另一方面,企业将身份管理与访问管理共同实施后,管理员可以将用户预配到只与其工作相关的应用,并且将用户权限设定为与用户角色对应的特定权限,即使账号被攻击,对相关软件的访问也会受限。显然,管理员凭证比权限固定的只读凭证更容易引起风险,因此对于保护企业访问安全更为重要。
企业为什么需要身份管理?
身份管理对于安全和运营都至关重要。如今,黑客的攻击手段日趋复杂,破解密码轻而易举。抵御黑客攻击的第一道防线就是掌握有权访问企业设备、网络和 IT 资源的用户。
而采用身份管理不仅能保障企业安全,还能为管理员提供了单一数据源,可以在员工入职时设置权限,调岗时支持角色更改,离职时关闭用户对企业资源的访问权限。
身份管理的安全威胁
用户凭证可能在很多情况下会被削弱,主要风险分为以下三类:
第一类是使用相同密码登录工作账号和个人账号。无论登录密码多么复杂,一旦使用相同密码登录的第三方网站遭到入侵,那么用第三方网站获取的凭证尝试登录企业账号也不难。
第二类是设备盗用,尤其是办公场所线上线下混杂的情况下这一现象更为频繁。一旦用户的电脑或手机被盗,黑客就能轻易访问用户已经登录的应用,管理员也无法阻止。
第三类是易于猜测的弱密码,这类密码容易被黑客暴力破解,从而影响安全性。所谓暴力破解攻击,是指黑客使用一种简单的试错法,穷举不同密码,直到试出正确密码。
不幸的是,这些只是 IAM 安全威胁的冰山一角,从在黑市购买凭证到部署恶意软件和社会工程陷阱(如网络钓鱼),黑客获取凭证的手段可谓五花八门。
理想的身份管理解决方案
由于上述身份安全威胁种类繁多,IT 部门需要采取手段将安全作为特权访问管理(PAM)策略的基础,本质上就是控制用户访问和保护用户凭证。
宁盾一体化身份管理平台能够帮助企业集中控制用户访问的同时为凭证提供全方位保护。身份管理平台的定义是一种虚拟的身份提供者,负责将用户身份连接到他们所需的IT资源,如系统、应用和网络。平台可以将单个用户账号预配到各种资源,还可以在必要时对用户取消预配,并根据需要更改权限。
归根结底,用户想要的是用一个账号访问全部所需资源。而管理员想要的是入离职流程自动化,同时确保用户安全访问 IT 资源。集中式目录服务就能满足这两个需求。